В Eclipse Californium версий с 2.3.0 по 2.6.0 рукопожатия DTLS на основе сертификатов (x509 и RPK) случайно завершаются неудачно, поскольку…
В Eclipse Californium версий с 2.3.0 по 2.6.0 рукопожатия DTLS на основе сертификатов (x509 и RPK) случайно завершаются неудачно, поскольку серверная часть DTLS придерживается неправильного внутреннего состояния. Это неправильное внутреннее состояние устанавливается предыдущим сбоем рукопожатия DTLS на основе сертификатов с несоответствием параметров TLS. Серверную часть DTLS необходимо перезапустить, чтобы восстановить это. Это позволяет клиентам принудительно выполнять DoS.
Продукт не определяет должным образом, в каком состоянии он находится, вследствие чего принимает состояние X за состояние Y и выполняет некорректные операции, имеющие значение для безопасности.
https://cwe.mitre.org/data/definitions/372.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/74.html →Открыть в коллекции CAPEC →Некоторые веб-приложения требуют от пользователей поэтапной отправки информации через упорядоченную последовательность веб-форм. Это нередко применяется при сборе большого объёма информации или когда данные из предыдущих форм используются для предварительного заполнения полей или определения того, какие дополнительные сведения необходимо собрать. Злоумышленник, знающий имена различных форм в последовательности, может явно ввести имя более поздней формы и перейти к ней, минуя предыдущие. Это может привести к неполному сбору информации, ошибочным допущениям о данных, отправленных злоумышленником, или иным проблемам, нарушающим функционирование приложения.
https://capec.mitre.org/data/definitions/140.html →Открыть в коллекции CAPEC →